1. Introduction
미국 MITRE社의 프로젝트 중 MAEC(Malware Attribute Enumeration and Characterization)는 단순하게 표현하면 "악성코드 분석 결과에 대한 표준 언어" 라고 볼 수 있다. maec.mitre.org 에서 소개한 내용은 다음과 같다.
MAEC는 악성코드의 행동, 인위적 구조(artifacts), 공격 패턴 등의 특성을 통해 인코딩 및 의사소통을 위한 높은 정확도의 정보를 가진 국제적인 범위에서 공공이 무료로 사용하는 표준화 된 언어이다.
MAEC는 사람 대 사람, 사람 대 도구, 도구 대 도구 그리고 도구 대 사람이 악성코드에 대한 의사소통을 개선하기 위해 현재 악성코드를 설명하는데 있어 모호함과 부정확성을 제거하여, 시그니처에 대한 의존도를 줄이는데 목표로 하고 있으며, 이전에 관찰 한 악성코드 인스턴스에 대한 응답을 활용하는 능력을 활성화하여 빠른 대책 및 개발을 할 수 있도록 한다.(분석가의 악성코드 분석에서 중복된 악성코드 분석을 줄일 수 있다.)
이 프로젝트와 관련된 다른 프로젝트들의 리스트는 다음과 같으며 MAEC 프로젝트는 CybOX에 종속적으로 움직인다.
- Cyber Observables (CybOX) - 사이버 관측
- Structured Threat Information (STIX) - 구조화 된 위협 정보
- Threat Information Exchange (TAXII) - 위협 정보 교환
- Vulnerabilities (CVE) - 취약성
- Software Weakness Types (CWE) - 소프트웨어 약점 유형
- Assessment Language (OVAL) - 평가 언어
- Platforms (CPE) - 플랫폼
Cuckoo가 MAEC 레포트를 처음 선택한 버전은 0.3.2에서 커스텀마이징으로 사용되었다가 정식으로는 0.4에서 기능이 업데이트 되어 maec 1.1 버전을 사용했다. 이후 0.5, 0.6 버전까지 동일한 maec 버전을 꾸준히 사용하다가 1.0 버전부터 maec 4.0.1 버전을 채택하여 사용하고 있다.
2. Installation
MAEC 레포트를 이용하기 위해서는 크게 CybOX와 MAEC 파이썬 모듈을 설치해야 한다. 그 외 설치하는 라이브러리들은 CybOX를 운영하기 위한 라이브러리들이다. MAEC 레포트는 버전에 매우 종속적이어서 CybOX 2.0.1.4 버전이 아닌 버전을 사용하면 운영하는데 있어 버그가 발생한다. 또한 Cuckoo가 사용하는 MAEC는 4.0.1.0 버전들만 사용가능하고 4.1.x.x 로 넘어서면 사용할 수가 없게 된다.
$ sudo apt-get install libxsl1-dev libxml2-dev
$ sudo pip install lxml
$ sudo pip install cybox==2.0.1.4
$ sudo pip install maec==4.0.1.03. Configuration
MAEC 레포트의 설정 파일은 cuckoo/conf 디렉터리의 reporting.conf에서 설정할 수 있다.
[maec40]
enabled = yes
mode = overview
processtree = true
output_handles = false
static = true
strings = true
virustotal = true
4. Starting
MAEC 레포트는 악성코드 분석을 한 후 생성되는 보고서 중의 하나의 형태이다. 보고서 생성 위치는 storage/analysis/[task number]/report 디렉터리에 report.maec-4.0.1.xml 파일로 생성이 된다. 악성코드에 의해 발생하는 모든 동적 분석 정보 뿐만 아니라 악성 코드 자체의 정적 정보까지 포함되어 있음을 확인했으며, MAEC 레포트 만의 특유의 특장점은 파악하지 못했다.(방대한 로우 데이터로 인해.) xml 파일 형태로 만들어지기 때문에 추가적인 프로그래밍을 통해 다방면으로 활용할 수 있을 것으로 예상된다.
5. Reference
'Information Security > OpenSource' 카테고리의 다른 글
| Using HPFClient Report within Cuckoo Sandbox (0) | 2014.04.15 |
|---|---|
| Using MMDef Report within Cuckoo Sandbox (0) | 2014.04.15 |
| Cuckoo Sandbox 1.1 Release (0) | 2014.04.09 |
| Using Django within Cuckoo Sandbox (0) | 2014.04.09 |
| How to install Cuckoo 1.0 with Tor Network #03 (7) | 2014.02.16 |
